在网络时代,隐私泄露问题屡见不鲜。近期发现,浏览器里一个看似无害的功能——链接变色,实则暗藏长达23年的隐私泄露风险。
此功能利用CSS语言,依据浏览器历史文件,将浏览过的链接标记为“:visited”并设置为紫色,以提升用户浏览效率。然而,该功能存在严重漏洞。由于“:visited”是全局列表,恶意网站可通过读取页面CSS信息,获取用户浏览记录。
例如,若用户在“差评”网站访问“火锅”链接,链接变紫后,山寨“好评”网站的“火锅”链接也会变紫,这就导致“好评”网站能知晓用户的浏览行为。此外,“getComputedStyle()”函数可快速破解用户历史记录,大量数据泄露可能导致用户身份被识别。
这个漏洞早在2002年就被发现,但多年来一直未得到有效解决。尽管部分浏览器采取了一些措施,如对网站“撒谎”或限制样式显示,但要么影响性能和兼容性,要么被黑客绕过。
不过,今年4月发布的Chrome136版本带来了好消息。Google通过对浏览记录进行分区,有效解决了这一问题。分区包括链接网址、顶级网站和框架源,浏览器记录浏览历史时会同时记录这三部分信息。
以“差评”和“火锅”为例,用户在“差评”(顶级网站)上打开“火锅”(链接网址),链接变紫;而山寨“好评”上的“火锅”链接不会变紫,因为顶级网站不同。框架源则用于区分网站内嵌页面的链接。
分区启用后,“:visited”历史记录不再是全局列表,CSS会根据分区判断是否标记链接,避免了隐私泄露。
然而,网络隐私保护仍面临诸多挑战。2000年提出的时序攻击方式,通过页面加载或渲染时间推测用户访问历史,至今仍未彻底解决。Google在Github页面还总结了一批攻击浏览器历史记录的漏洞,提醒人们网络隐私保护任重道远。
如今,互联网已成为生活不可或缺的一部分,任何隐私都不应被泄露。保障网络隐私安全,需要各方共同努力。
